Trusselklassifisering i Microsoft Defender for Office 365
Effektiv trusselklassifisering er en viktig komponent i cybersikkerhet som gjør det mulig for organisasjoner å raskt identifisere, vurdere og redusere potensielle risikoer. Trusselklassifiseringssystemet i Microsoft Defender for Office 365 bruker avanserte teknologier som store språkmodeller (LLM-er), små språkmodeller (SLMer) og maskinlæringsmodeller (ML) til automatisk å oppdage og klassifisere e-postbaserte trusler. Disse modellene arbeider sammen for å gi omfattende, skalerbar og adaptiv trusselklassifisering, noe som hjelper sikkerhetsteamene med å holde seg i forkant av nye angrep.
Ved å kategorisere e-posttrusler i bestemte typer, for eksempel phishing, skadelig programvare og e-postkompromisse for bedrifter (BEC), gir systemet vårt organisasjoner handlingsvennlig innsikt for å beskytte mot skadelige aktiviteter.
Trusseltyper
Trusseltype refererer til den primære kategoriseringen av en trussel basert på grunnleggende egenskaper eller angrepsmetode. Historisk sett identifiseres disse brede kategoriene tidlig i angrepslivssyklusen og hjelper organisasjoner med å forstå angrepets natur. Vanlige trusseltyper inkluderer:
- Phishing: Angripere utgir seg for å være klarerte enheter for å lure mottakere til å avsløre sensitiv informasjon, for eksempel påloggingslegitimasjon eller økonomiske data.
- Skadelig programvare: Skadelig programvare utviklet for å skade eller utnytte systemer, nettverk eller enheter.
- Søppelpost: Uoppfordret, ofte irrelevant e-post sendt i bulk, vanligvis for ondsinnede eller kampanjeformål.
Trusselregistreringer
Trusselregistreringer refererer til teknologier og metoder som brukes til å identifisere bestemte indikatorer eller mistenkelige aktiviteter i en e-postmelding eller kommunikasjon. Trusselregistreringer bidrar til å oppdage tilstedeværelsen av trusler ved å identifisere avvik eller egenskaper i meldingen. Vanlige trusselregistreringer inkluderer:
- Forfalskning: Identifiserer når avsenderens e-postadresse er smidd for å se ut som en klarert kilde.
- Representasjon: Oppdager når en e-postmelding utgir seg for å være en legitim enhet, for eksempel en leder eller klarert forretningspartner, for å lure mottakere til å utføre skadelige handlinger.
- Omdømme for nettadresse: Vurderer omdømmet til nettadresser som er inkludert i en e-postmelding, for å finne ut om de fører til skadelige nettsteder.
- Andre filtre
Trusselklassifisering
Trusselklassifisering er prosessen med å kategorisere en trussel basert på hensikt og angrepets spesifikke natur. Trusselklassifiseringssystemet bruker LLM-er, ML-modeller og andre avanserte teknikker for å forstå hensikten bak trusler og gi en mer nøyaktig klassifisering. Etter hvert som systemet utvikler seg, kan du forvente at nye trusselklassifiseringer holder tritt med nye angrepsmetoder.
Ulike trusselklasser er beskrevet i listen nedenfor:
Forhåndsgebyrsvindel: Ofrene blir lovet store økonomiske belønninger, kontrakter eller premier i bytte mot forhåndsbetalinger eller en rekke betalinger, som angriperen aldri leverer.
Forretningsintelligens: Forespørsler om informasjon om leverandører eller fakturaer, som brukes av angripere til å bygge en profil for ytterligere målrettede angrep, ofte fra et look-alike domene som etterligner en klarert kilde.
Tilbakeringingsphishing: Angripere bruker telefonsamtaler eller andre kommunikasjonskanaler til å manipulere enkeltpersoner til å avsløre sensitiv informasjon eller utføre handlinger som kompromitterer sikkerheten.
Kontaktetablering: E-postmeldinger (ofte generisk tekst) for å bekrefte om en innboks er aktiv og starte en samtale. Disse meldingene tar sikte på å omgå sikkerhetsfiltre og bygge et pålitelig rykte for ondsinnede fremtidige meldinger.
Legitimasjonsphishing: Angripere forsøker å stjele brukernavn og passord ved å lure enkeltpersoner til å skrive inn legitimasjonen sin på et falskt nettsted eller via manipulerende e-postmeldinger.
Kredittkortinnsamling: Angripere forsøker å stjele kredittkortinformasjon og andre personlige opplysninger ved å lure enkeltpersoner til å oppgi betalingsinformasjon gjennom falske e-postmeldinger, nettsteder eller meldinger som ser legitime ut.
Utpressing: Angriperen truer med å frigi sensitiv informasjon, kompromittere systemer eller iverksette ondsinnede handlinger med mindre løsepenger betales. Denne typen angrep innebærer vanligvis psykologisk manipulasjon for å tvinge offeret til overholdelse.
Gavekort: Angripere utgir seg for å være klarerte personer eller organisasjoner, og overbeviser mottakeren om å kjøpe og sende gavekortkoder, ofte ved hjelp av sosial ingeniørtaktikk.
Fakturasvindel: Fakturaer som ser legitime ut, enten ved å endre detaljene for en eksisterende faktura eller sende inn en falsk faktura, med den hensikt å lure mottakere til å foreta betalinger til angriperen.
Lønnssvindel: Manipulere brukere til å oppdatere lønn eller personlige kontodetaljer for å omdirigere midler til angriperens kontroll.
Personlig identifiserbar informasjonsinnsamling (PII): Angripere utgir seg for å være en høytstående person, for eksempel en administrerende direktør, for å be om personlige opplysninger. Disse e-postmeldingene etterfølges ofte av et skifte til eksterne kommunikasjonskanaler som WhatsApp eller tekstmeldinger for å unngå gjenkjenning.
Sosial OAuth phishing: Angripere bruker enkel pålogging (SSO) eller OAuth-tjenester for å lure brukere til å oppgi påloggingslegitimasjon, og få uautorisert tilgang til personlige kontoer.
Oppgavesvindel: Korte, tilsynelatende trygge e-postmeldinger som ber om hjelp med en bestemt oppgave. Disse forespørslene er utformet for å samle inn informasjon eller indusere handlinger som kan kompromittere sikkerheten.
Der resultater av trusselklassifisering er tilgjengelige
Resultatene av trusselklassifisering er tilgjengelige i følgende opplevelser i Defender for Office 365: